Welcome to Spyhackerz family! Log in or Sign up to join us

Gizlice Takip Edenleri Öğreneyim Derken Yok Olmayın #ResimliAnlatım

Discussion in 'Social Engineering / Sosyal mühendislik' started by YAKALA, Aug 5, 2018.

  1. YAKALA

    YAKALA Kıdemli üye

    Katılım:Mar 4, 2018
    Mesajlar:
    127
    Uzmanlık Alanları
    C#
    Python
    Hacking
    Sosyal Mühendislik
    > T'ÜRK <
    Özel Mesaj Yolla
    [​IMG]

    İlgili reklama tıkladığımızda bu sayfa karşılıyor bizi ve sosyal medyayı kullanan kitlenin genelinin yapmak istediği şeyleri tek tek gözümüze sokarak iyice cezbediyor beynimizi ve “harekete geç” dercesine sağdaki seçeneklere tıklamamızı istiyor.

    [​IMG]

    Seçeneklerden birine tıkladığımız zaman otomatik olarak bir eklenti yükle pop-up’ı açıyor. Bu noktadan sonra eklentiyi analiz etmek için kolları sıvamamız gerekiyor ve mağazadan eklentimize ulaşıyoruz.

    [​IMG]

    Hızlıca kaynak kodlarına ulaşmak istediğimden https://johankj.github.io/convert-crx-to-zip/ burayı kullanarak eklentimizi zip formatına dönüştürdük ve “akıllı dostlarımızın” kodlarına bir adım daha yaklaştık.

    [​IMG]

    Gönüllerimizin efendisi, en “güvenilir” dostumuz js karşıladı baştan.(Yanlışlıkla ellerim felan diye uzantıyı değiştirdim. bg.js orijinal dosya adı)
    Hızlıca kodları okumaya başlayalım diyerek bir hışımla açtık js dosyamızı. O da nesi ?

    [​IMG]

    Zeki dostlarımız harika bir obfuscate yöntemi ile kodları karıştırmışlar ve benim işimi 3 kat zorlaştırdılar !
    “Google’dan” javascript deobfuscator diye aratarak ulaştığım ve işimi hep güzelleştiren “JSNice” yardımcı oldu bu konuda. http://jsnice.org/

    [​IMG]

    Saldırganların, eklentiyi kullananların Facebook cookilerine göz diktiği bariz olarak belli. Tanımladıkları diziye saldırganca komutlarını eleman olarak eklemişler ve “cookieleri_getir” fonksiyonu ile “chrome” fonksiyonuna “cookies” “getAll” parametrelerini verip facebook.com’a ait tüm çerezleri çekmek istemişler ve atamışlar. Ardından “rapor_gonder” fonksiyonuna “success” ve çektiği çerezleri JSON formatında vermiş.
    Bu fonksiyon aldığı verileri “http://thiskuki.club/gez.php” adresine yollayan bir fonksiyon. Resimde görüldüğü üzere request için gerekli verileri ve domaini aynı diziden çekmekte ve başarıya ulaşmaya çalışmaktadır.
    Gönderilen siteyi henüz inceleme imkanım olmadı ancak vaktim olduğunda onu da inceleyeceğim. Genel olarak saldırının detayları bu şekilde. Daha bugün harekete geçtiler. Dikkat edin, aldanabilecek arkadaşlarınızı uyarın.
     
  2. jarmen

    jarmen Üst Tabaka

    Katılım:Ocak 14, 2017
    Mesajlar:
    90
    Uzmanlık Alanları
    yoh
    Özel Mesaj Yolla
    Bu yöntem öldü artık korkmanıza gerek yok :)
     
  3. SkullZ

    SkullZ Co - Admin

    Katılım:Apr 21, 2016
    Mesajlar:
    1,249
    Uzmanlık Alanları
    Social Engineer
    Social Media
    Özel Mesaj Yolla
    Bana bundan lazımdı aq, ben bunu rahat rahat yediririm :D
     
    Code Red and YAKALA like this.
  4. l0rxhell

    l0rxhell Co - Admin

    Katılım:Ocak 27, 2017
    Mesajlar:
    846
    Uzmanlık Alanları
    Pentest
    Özel Mesaj Yolla
    olum sen milletin anasını boyayıp babasına tekrar satan adamsın yaşıosun bu hayatı çee
     
    SkullZ likes this.
  5. SkullZ

    SkullZ Co - Admin

    Katılım:Apr 21, 2016
    Mesajlar:
    1,249
    Uzmanlık Alanları
    Social Engineer
    Social Media
    Özel Mesaj Yolla
    Bu hayat yaşanmaz mı be, hayal illegal emmiii çee
     
Loading...

Bu sayfayı Paylaş